abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 09:00 | Nová verze

    Po dvou letech a deseti měsících od vydání verze 5.8 byla vydána nová verze 5.9 svobodného multiplatformního softwaru pro konverzi a zpracování digitálních fotografií primárně ve formátů RAW RawTherapee (Wikipedie). Představení novinek v oznámení o vydání verze 5.9 (WIP). Nejnovější RawTherapee je k dispozici také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

    Ladislav Hagara | Komentářů: 0
    včera 18:33 | IT novinky

    Mozilla převzala společnost Pulse. Z oznámení: "Společně budeme vytvářet modely strojového učení, které budou fungovat transparentně, budou respektovat soukromí a budou od začátku vytvářeny se zaměřením na spravedlnost a inkluzi". Společnost Pulse vyvíjí software pro automatické nastavování stavů ve Slacku.

    Ladislav Hagara | Komentářů: 8
    včera 15:33 | Zajímavý článek

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil dokument obsahující strategickou analýzu cloudových služeb (pdf). Jde o materiál shrnující trendy po-pandemického světa, důležitost důvěryhodnosti dodavatele, typy služeb a momentálně platné vyhlášky týkající se služeb cloud computingu. Dokument dále rozebírá a blíže představuje doporučení pro tuto oblast na úrovni strategické, manažera kybernetické

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 14:44 | IT novinky

    Mozilla od dnešního dne nevěří certifikační autoritě TrustCor (seznam CA ve Firefoxu, sloupce Distrust for …). Důvodem je provázanost společnosti Trustcor Systems se společností Measurement Systems, jež distribuovala SDK s malwarem pro Android.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána verze 22.11 distribuce NixOS se správcem balíčků Nix (nyní verze 2.11), podrobnosti v poznámkách k vydání.

    Fluttershy, yay! | Komentářů: 0
    včera 10:33 | Nová verze

    Byla vydána nová verze 3.0.18 multiplatformního multimediálního přehrávače VLC (Wikipedie). Jedná se o minor verzi přinášející například podporu RISC-V. Řešeny jsou také bezpečnostní chyby.

    Ladislav Hagara | Komentářů: 0
    včera 09:00 | IT novinky

    I letos vychází řada ajťáckých adventních kalendářů. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2022, zájemci o kybernetickou bezpečnost z kalendáře Advent of Cyber 2022, …

    Ladislav Hagara | Komentářů: 1
    30.11. 23:00 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 124 (pdf), HackSpace 61 (pdf), Wireframe 68 (pdf) a Custom PC 232 (pdf).

    Ladislav Hagara | Komentářů: 1
    30.11. 18:33 | Bezpečnostní upozornění

    Byla nalezena a opravena zranitelnost CVE-2022-23093 v příkazu ping ve FreeBSD. Jedná se o přetečení zásobníku (stack overflow) využitelné útočníkem ke vzdálenému spuštění kódu (remote code execution).

    Ladislav Hagara | Komentářů: 9
    30.11. 17:55 | Nová verze

    Google Chrome 108 byl prohlášen za stabilní. Nejnovější stabilní verze 108.0.5359.71 přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 28 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).

    Ladislav Hagara | Komentářů: 1
    Už jste se osobně setkali s podvodem typu falešná technická podpora?
     (44%)
     (0%)
     (56%)
    Celkem 9 hlasů
     Komentářů: 1, poslední dnes 12:01
    Rozcestník


    Řada firewallů blokuje nově přidělené IP adresy

    Množství skriptů konfigurujících iptables má původ v návodech a vzorových skriptech. Málokdo však kontroluje, že IANA v dnešní nouzi o IPv4 přiděluje i dříve rezervované rozsahy, a tak řada firewallů blokuje dnes přidělené adresy.

    Ovlivněn přímo tímto problémem apeluji a prosím administrátory, aby provedli kontrolu a případně smazali ze svých skriptů řádky podobné tomuto:

    $IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop # rezervovano podle IANA

    V dnešní době již není rezervován a jeho některé rozsahy jsou přiděleny i v EU, dokonce na území ČR.

    4.2.2010 11:38 | dmnc_net | Upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    4.2.2010 11:48 Begleiter | skóre: 47 | blog: muj_blog | Doma
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Už aby se plně přešlo na IPv6.

    houska avatar 4.2.2010 12:14 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    +1
    4.2.2010 12:22 SAM: | skóre: 23 | blog: marsark_linux
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Souhlas. +1
    4.2.2010 12:32 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Tohle je zrovna problém, který IPv6 nijak neřeší. Pokud někdo blokuje adresy, které jsou "rezervované" v tom smyslu, že jen zatím nebyly nikomu přiděleny, tak přesně totéž může dělat i u IPv6. I tam takové bloky existují a i tam je to samozřejmě jen dočasné.
    stativ avatar 4.2.2010 12:52 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Problém IPv6 je, že se přidělují zbytečně velké rozsahy. Většina lidí se spokojí s jednou IP adresou (jako doteď, pokud vůbec měli veřejnou IP). Proto dávat rozsah /48 je strašně přemrštěné. Nakonec to skončí tak, že adresy se vyplýtvají také a to ne proto, proto, že by jich IPv6 tolik nezvládlo, ale protože každý jouda bude mít desetitisíce adres a z nich bude používat 1. Jasně, doba, kdy bude 100 mld. uživatelů je daleko (pokud vůbec bude internet ještě existovat), ale už to není tak nepředstavitelné číslo jako když člověk porovnává samotný address space.
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    4.2.2010 13:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Abych pravdu řekl, těch /48 mi taky připadá moc. Osobně bych byl spíš pro /56 malým koncovým uživatelům (např. domácnostem) a /48 jen těm, u kterých je důvod očekávat, že budou mít opravdu velkou síť a /56 by jim časem přestalo stačit (nebo by jim nestačilo už teď). Ale chápu-li to dobře, přesně z tohoto důvodu se zatím přidělují pouze adresy z 2000::/3, aby v případě, že se ukáže, že je současná strategie 16-16-16-16 špatná, udělalo se to na zbytku už "správně".
    4.2.2010 14:15 allstar
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Prosím, potvrďte mi ješte jednou, že se budou domácnostem dávat /48? Já tomu stále ještě nemohu uvěrit. (A sám bych byl pro /56). Dík.
    Heron avatar 4.2.2010 14:55 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Také by mě to zajímalo. Dodnes jsem měl za to, že se koncovým zákazníkům budou rozdávat /64 a ISP dostane /48.
    4.2.2010 17:38 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jenže /64 je dost na houby, s tím neudělám (bez triků, se kterými by právě IPv6 mělo skoncovat) ani síť za firewallem. Natož cokoli strukturovaného.
    4.2.2010 17:46 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    ISP (opravdovi, tedy LIRove) dostavaji /32. Tipuji, ze koncovym zakaznikum typu domaci uzivatele budou davat /64 a vetsim (firemnim) zakaznikum (ci pseudoISP) budou davat /48.
    4.2.2010 18:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Pevně doufám, že pro domácnost nebude problém dostat aspoň /60, za jednu /64 bych jim moc nepoděkoval.
    5.2.2010 09:24 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Na co tolik adres?
    Quando omni flunkus moritati
    Heron avatar 5.2.2010 10:09 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Moment, /48 lze dělit (padli tu návrhy na /56 /60) a /64 si rozdělit nemůžu?
    5.2.2010 10:56 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Bezstavová autokonfigurace říká 64 bitů a nikdy jinak.

    Podle mě je to ale blbost. Stejně je nutné dělat DAD a případně si vylosovat jinou adresu. Jestli by prostor pro autokonfiguraci byl menší, by zas tolik nevadit nemělo. Stejně na global scope je potřeba oznámení směrovače, které když už dnes může nést i adresu rekurzivního DNS serveru, tak by mohlo nést informaci o velikosti prefixu.

    5.2.2010 11:44 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Stejně je nutné dělat DAD a případně si vylosovat jinou adresu.

    Proč? Pokud se všichni budou chovat korektně, není k tomu důvod. Staticky přidělované adresy jsou disjunktní s adresami pro autokonfiguraci, při autokonfiguraci různé MAC adresy vedou na různé IP adresy a pokud by z nějakého důvodu měla dvě zařízení stejnou MAC adresu, tak už je to stejně jedno. Pokud se někde bude chtít záměrně chovat nekorektně, tak si místo IPv6 adresy může rovnou nastavit stejnou MAC adresu.

    7.2.2010 23:02 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Protože RFC, protože identifikátor rozhraní se v případě neexistence linkové adresy odvozuje od jiných (třeba pseudonáhodných) údajů. Už jste zkoušel IPv6 na plip (IP přes paralelní port)? Já ano. (Námět ke studiu: stav adresy tentative.)

    Ano, staticky přidělované adresy jsou od automatických rozlišitelné podle hodnoty určitého bitu.

    Jinak celková odpověď na proč: Protože 64bitová podsíť je podle mě zbytečně velká. Běžné L2 sítě mají a asi vždy budou mít mnohem méně zařízení, než abychom se strachovali o kolize (které stejně hlídá DAD). Kdyby byla třeba jen 32bitová, tak by jsme získaly obrovský prostor pro domácí strukturování.

    4.2.2010 17:36 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    To samozřejmě závisí na úvaze konkrétního ISP.
    5.2.2010 01:08 Sten
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    /48 sítí je skoro 50 000 pro každého obyvatele Země. Přijde vám to málo?
    5.2.2010 02:02 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jakmile máte několikastupňovou hierarchii, nelze to tímhle způsobem počítat. Problémy s nedostatečnou velikostí adresního prostoru IPv4 se také začaly projevovat už v době, kdy se počet připojených počítačů ani zdaleka neblížil čtyřem miliardám.
    Grunt avatar 5.2.2010 02:16 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Já bych to viděl tak, že v tom zase má prsty pan Heisenberg. Můj návrh: Reinkarnovat toho starého páprdu a systematicky ho upálit na hranici a je po problému.
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    4.2.2010 13:45 Tomáš Velecký
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Nepočítají náhodou s tím, že svou IP bude mít čím dál víc zařízení (televize, telefony, tiskárny, ...)?
    4.2.2010 14:18 allstar
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Neříkejte mi, že Vám /56 nestačí. 256 subnetů je pro každého až až.
    4.2.2010 17:06 .
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jasně. 640MB paměti musí stačit každému...
    stativ avatar 4.2.2010 17:17 stativ | skóre: 54 | blog: SlaNé roury
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Až na to, že říct si o větší subnet by snad neměl být problém. Když mi přestane stačit paměť, dokoupím novou. Kupujete si snad počítač za pár miliónů jen proto, že byste v budoucnu mohl využít 1TB paměti?
    Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
    4.2.2010 17:21 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Tak zrovna 640MB by mě stačilo, mám 256 :-D.
    5.2.2010 07:48 sh
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    bylo to 640kB ... ještě z dob DOSu
    5.2.2010 11:49 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Holt už dnes asi některým připadá naopak příliš neuvěřitelné, že by 640 KB mohlo někomu stačit. :-)
    5.2.2010 15:30 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Natož že by třeba doletěl na Měsíc s dvacetinou toho.
    Jendа avatar 5.2.2010 18:15 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Někomu to prý stačí.
    Všimli jste si jak appky na identifikaci jedlosti hub typicky nemají žádná špatná hodnocení?
    4.2.2010 22:29 ludvik
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Vím o třech takových postižených sítích ... jedna jsme my a třetí si nepamatuju :-)

    Ale ono to až tak k smíchu není: http://wiki.khnet.info/index.php/Problematicke_weby a to mám ještě výhodu, že můžu zkoušet ze starších adres. Kdybych je neměl, tak nevím co s tím ...
    dmnc_net avatar 6.2.2010 12:49 dmnc_net | skóre: 12 | blog: dmnc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    obdivuji mnozstvi zanechane prace, vc. WIKI Nevim, jestli to muze pomoci, kolik odborne komunity pouziva facebook, ale at je co SDILET...
    4.2.2010 14:09 x
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Nevidim na tom neco moc extra vyhodne napr. kvuli - It seems to be common that everything that involves IPv6 has to be more abstracted and therefor a magnitude more complex.
    4.2.2010 11:54 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Ano, byl jsem asi pred mesicem kontaktovan jednim z postizenych. Obdivuju s jakou slusnosti poslal upozorneni a i na mou odpoved (priznani chyby) reagoval velmi prijemne. Obzvlaste tolerantni tvor.

    Kdyz si predstavim, kolik jenom po republice bude siti, ktere jako prvni krok instalace pouziji "jakysi" mpfw.sh z clanku na rootovi a "jen" to prizpusobi lokalnim podminkam, je mi adminu v tom 96kovem segmentu lito a maji muj obdiv.

    Docela bych uvital anketu na toto tema. :-D (blokujete jeste uvolnene rozsahy: Nikdy, do nedavna (po upozorneni), stale , nemam firewall ... doplneno alespon o odkaz na tuto zpravicku)
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    Rezza avatar 4.2.2010 12:12 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jj, s timto jsem si uzil svoje. Byla to moje chyba a malem jsem brecel, kdyz jsem prisel cim to bylo ;-) On ten Firehol mel strasne pekny konfigurak, na prvni pohled bylo videt co se deje, kde co se blokuje - ale na te vyssi urovni. Jak se clovek podival, kolik to vygenerovalo pravidel a v tom jedno spatne...
    Heron avatar 4.2.2010 14:57 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Firehol má přiložený skript pro stahování aktuálního seznamu rezervovaných adres.
    Rezza avatar 4.2.2010 17:09 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Ja vim, ale nez jsem si ho vsiml...
    4.2.2010 22:54 ludvik
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Já si zase myslím loni všimnul, že IANA změnila formát toho seznamu ... takže můj script nefungoval. Naštěstí jsem si toho všimnul dost brzo. Automatika je dobrá věc.
    7.2.2010 22:44 tomfi
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Tak tohle bych raději ani nepsal... nechávat si automaticky šahat do konfigurace firewallu to si koleduje o dos :)
    4.2.2010 13:14 CET
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jeste bych pridal volby "nekopiruji firewall skript bez rozmyslu" a "firewall pravidla si tvorim uplne sam".

    Stejne nechapu, jak tam nekdo muze cpat ty pravidla takhle blbe.

    Mam proste LAN s nejakym rangem a WAN (pripadne jeste DMZky s nejakyma rozsahama). Myslenka je "blokuj vsechno krome ..." A pak povolim prichozi pakety z LAN iface s LAN rangem, z WAN iface povolim vse krome mych rozsahu. Vic me nezajima.
    4.2.2010 12:08 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Zatím to je ještě v pohodě. Až začnou přidělovat 127.*, tak to bude horší :-D.
    4.2.2010 12:30 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Už jsem na to několikrát u podobných návodů upozorňoval. Je v pořádku blokovat rozsahy, které by se na Internetu neměly vyskytnout, protože jsou rezervovány pro speciální účel (např. 172.16.0.0/12). Ale pokud někdo blokuje adresy z rozsahů, které jsou rezervované ve smyslu "rezerva na horší časy", pak je to hrubá chyba.
    4.2.2010 12:44 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Neni, pokud periodicky kontrolujete, zdali nedoslo ke zmene.
    4.2.2010 12:48 Zdenek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Otazkou je, cim se lisi od tech "normalnich" adres a proc je tedy vubec blokovat. U adres urcenych pro specialni pripady (privatni site) je to jasne.
    dmnc_net avatar 4.2.2010 12:53 dmnc_net | skóre: 12 | blog: dmnc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    rika se, ze IP z rezervovanych (oficialne nepouzivanych) rozsahu pouzivaji ti zli kluci pro ruzne utoky, tak proto se blokuji ...
    4.2.2010 12:59 Zdenek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    A z tech officialne pouzivanych IP zli kluci nechodi?
    5.2.2010 09:25 Mti. | skóre: 31 | blog: Mti
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    ti treba nejsou tak moc zli.... a nebo se to bude casem "rezervovat" vsechno :-D
    Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
    4.2.2010 13:09 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Lisi se tim, ze nebyly prideleny a na verejnem internetu nemaji co pohledavat. Jestli je nekdo zabral za ucelem hackingu, ip squattingu, nebo ma jen spatne nakonfigurovanej pocitac, je nepodstatny detail.
    4.2.2010 13:55 Zdenek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Nebyli docasne prideleny. Tak to ma byt napsano spravne. S tim zabranim mate pravdu, to je nepodstatny detail. Podstatny detail je, ze ted ma plno pocitacu spatne nakonfigurovany firewall a to uplne zbytecne.
    4.2.2010 14:29 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Plno pocitacu ma spatne nakonfigurovany firewall i ve spouste dalsich ohledu, nemeli bychom filtrovani oznacit za hrubou chybu vseobecne a firewally zakazat? Jestli znate nejake legitimni vyuziti pro nepridelenou adresu volne pobihajici po verejnem internetu, tak sem s nim.

    4.2.2010 18:09 Zdenek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Staci jen aby ty firewally nepsali troubove a jesti vetsi troubove, aby z toho nedelali tutorialy. Neznam, ale muj firewall je nakonfigurovany tak, aby mu nezalezelo jestli je nejaka adresa docasne nepridelena.
    4.2.2010 18:11 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Jestli znate nejake legitimni vyuziti pro nepridelenou adresu volne pobihajici po verejnem internetu, tak sem s nim.

    Znám: někomu ji přidělit.

    4.2.2010 19:02 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Ovsem pak uz to nebude nepridelena adresa.
    4.2.2010 19:18 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Pak už ne. Jenže ten status se může kdykoli změnit a navíc současný status je takový, že dost zřetelně naznačuje, že se počítá s tím, že k takové změně dojde. Vzhledem k tomu nemůžu považovat za rozumné zakazovat komunikaci s takovými adresami, zvlášť když to nic nepřináší.

    Trochu mi to připomíná některé autory konfigurací, kteří si po svém vyložili pokyn "must be zero" ve specifikaci IP protokolu u nejnižšího bitu pole ToS. Kvůli jejich lidové tvořivosti se teď nejde do některých sítí dostat, pokud si nezakážete používání ECN.

    4.2.2010 12:52 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Hm, a u kolika z těch vzorových konfigurací na webu jste viděl upozornění, že je něco takového potřeba, nebo dokonce návod, jak to dělat? Já zatím vždycky jen "tohle zakážeme, protože IANA řekla, že je to rezervované" a šmytec.
    4.2.2010 13:20 Sinuhet | skóre: 31
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Ze jedni lide pisi kraviny a jini lide jim je veri, je nesvar obecneho razu.

    Firewall se da nakonfigurovat spatne, ale to neznamena, ze to taky nejde udelat spravne.

    4.2.2010 13:33 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy

    Jistě, jde to udělat správně. Já ale tvrdím, že pokud někdo automaticky blokuje rozsahy, které nejsou rezervované pro nějaký speciální účel, ale pouze zatím nebyly nikomu přiděleny, je to chyba. A tato zprávička ukazuje, k čemu takový postup ve většině případů vede.

    Pokud si někdo ve své soukromé konfiguraci blokuje dosud nepřidělené /8 a hlídá si, jestli se jejich status nezměnil, je to v pořádku. Když někdo blokování takových rozsahů nasype do ukázkové konfigurace v nějakém tutorialu a ani se nezmíní o tom, že zmíněný status takových rozsahů není "na věčné časy a nikdy jinak", ale jen do chvíle, kdy budou někomu přiděleny, pak je to chyba.

    4.2.2010 14:12 x
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Je to chyba. Rezervovane adresy jsou jen tyhle http://en.wikipedia.org/wiki/Private_network . Od toho jsou standardy ala RFC. Kdyz nekdo blokuje neco jineho, tak je to ......
    4.2.2010 13:34 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    To není tak docela pravda. Chyba je to tehdy, pokud je u daného rozsahu bylo napsáno "rezervováno pro budoucí přidělení registrátorům", nebo zkráceně "UNALLOCATED".

    Ovšem, v tomto případě bylo u rozsahu napsáno prostě "Reserved". To může znamenat rezervaci pro nějaký "speciální účel" v budoucnu, který zatím neznáte. Jako např. rozsah 224.0.0.0/4 byl přidělen multicastu. Zablokovat neznámé protokoly je z pohledu bezpečnosti správný přístup.

    Na vině je tedy de-facto špatný odhad budoucnosti ze strany IANA a přidělení rozsahu adres, u kterého se to původně neočekávalo.
    4.2.2010 13:43 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Bohužel všechny ty tutorialy, které jsem viděl a které blokovaly "rezervované" rozsahy, blokovaly šmahem všechno, co u čeho bylo "unallocated" nebo "reserved". Ono i u toho "reserved" je potřeba rozlišovat, za jakým účelem jsou rezervovány. Např. 240.0.0.0/4 (kromě 255.0.0.0/8) je rozsah, u kterého je poznámka "future use", což IMHO nijak nevylučuje jejich využití pro standardní alokaci globálních unicast adres.
    4.2.2010 14:38 Atom321 | skóre: 20
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    ... což IMHO nijak nevylučuje jejich využití...
    Správci firewallů nejsou na nějaké IMHO zvědaví. "Reserved" jednoduše znamená že dané adresy nejsou povolené. Co není povolené, se na firewallu zakazuje a hotovo.
    4.2.2010 17:44 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Nemáte pravdu. "Reserved" znamená, že je ten blok rezervován k nějakému účelu. Je-li účelem "future use", je zcela v pořádku, pokud IANA v noci na zítřek takový blok někomu přidělí pro globální unicastové adresy. A nebo ty adresy začne používat pro cokoli jiného. Zodpovědný správce firewallu by tedy s takovou možností měl počítat a být připraven na možnost, že se taková adresa může kdykoli zcela legálně vyskytnout; ne ex post zjišťovat, že k něčemu takovému došlo, a teprve zpětně na to reagovat úpravou pravidel. Takové jednání je totiž úplně stejně nesmyslné, jako kdyby někdo v náhlém hnutí mysli zakazoval komunikaci s adresami, které dostali jednotliví ISP, ale zatím je nikomu nepřidělili ani nepoužili pro vlastní účely (což se může z hodiny na hodinu změnit).
    5.2.2010 11:39 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Ano, a když je na stole v hospodě cedulka "Reserved", tak ho klidně obložím batohama, protože tam nikdo nepřijde :)

    Reserved opravdu neznamená, že "adresy nejsou povolené". A to ani jednoduše. To by muselo být prohibited, forbidden nebo tak podobně.
    7.2.2010 22:55 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    +1 hlídat si nevyužívání rezervovaných rozsahů je spíše úkolem IANA
    Vždyť jsou to jen jedničky a nuly ...
    4.2.2010 12:34 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Hnidopišská terminologická poznámka: nekonfiguruje se iptables, ale Netfilter (pomocí iptables).
    dmnc_net avatar 4.2.2010 12:50 dmnc_net | skóre: 12 | blog: dmnc
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Ano, je to pravda a omlouvam se, sdeleni mohlo vypadat "Množství skriptů konfigurujících firewall pomoci iptables". Na druhou stranu bych to tak uz nechal, informace je hlavne pro ty, kteri na tomto poli zacinali/zacinaji pomoci vzorovych skriptu a o tomto problemu nemaji ani zdani. Mozna jsou to ti sami, co nevi, ze netfilter je framework v jadre a iptables obsluha. V praxi jsem byl u proverovani znalosti nabiranych techniku supportu pro IT firmu (odborny test jako soucast prijimaciho pohovoru), vetsina o netfilteru nevedeli a iptables jim trosku neco rikalo. Sam jsem sice pouzil spatnou terminologii, vsak ve vysledku snad slovo iptables prilaka vice ctenaru/googlistu...
    4.2.2010 14:50 ..... Izak ..... | skóre: 14
    Rozbalit Rozbalit vše taky jsem postizen ;-))
    Diky za upozorneni, taky jsem to blokoval, samo ze podle scriptu/navodu , co jsem tvoril tak pred 8lety ... doted ten FW bezi beze zmen ;-))

    ... tak jsem to zrusil, i na heslo jsem si vzpomnel ;-))
    4.2.2010 17:42 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Hmm, to maji blbe. Vzpominam si, jak jsme pred nejakou dobou meli v siti spoje s mensi MTU nez 1500 a nektere servery blokovaly vsechny ICMP zpravy vcetne Fragmentation needed, takze s nima neslo komunikovat. Asi dvaceti jsme poslali e-mail, a odpovedel (a opravil si to) jediny.
    Grunt avatar 4.2.2010 17:57 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    No tak už to začíná. Vím o tom, že u jednoho místního providera už začínají být problémy s prodlevami při přidělovaní nových rozsahů od RIPE. Počítám (resp. cítím v kostech), že nebude moc dlouho trvat a IPv6 tsunami se začne pomalounku zvedat.
    Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
    stanger avatar 4.2.2010 20:38 stanger | skóre: 18
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Doufam, ze si to precte nejaky admin jednoho ze serveru IRCnetu. :) Jine komunikacni kanaly selhaly.
    4.2.2010 22:51 ludvik
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Někam výše jsem postnul odkaz na weby co jsem řešil. Nechce se mi to počítat, ale docela velké procento správců v podstatě nereaguje. Sehnat kontakty prakticky nemožné (o kontaktech v RIPE ani nemluvě) a když už, tak ti odpoví, že není problém u nich. A ty obětuješ další půlhodinu až hodinu, abys jim dokázal opak (pingování a tracování adres o kousek vedle, apod). Případně tě pak nařkne, že kecáš kraviny (to byl jeden případ) i po vyřešení. Ale samozřejmě existuje dost správných správců, co to řeší rychle a ještě poděkují (a těm bych rád poděkoval i tady, neboť mi spravili náladu).

    A úplně nejlepší je, když taková síť má oba své DNS servery za jedním routerem který to poblokuje. Pak normální člověk ani nepozná co je špatně, neboť ani IP nedostane. A teď mám i případ, kdy mají DNSky správně na různých sítích, ale všude stejný firewall ... Nebo server má automatický scriptík a vždy dva dny po opravě problému se jim tam nějak nacpal zpátky. Je to k zbláznění.

    Člověk by řekl, že takovýto problém by měl správce/majitele zajímat a řešit ho přednostně, ne? Ale já takový pocit většinou nemám ... jedné síti (ISP, asi vcelku velký) jsem dokonce psal emaily jak šílenec, abych si za docela dlouhou dobu všimnul, že nemají MX záznam a na A adrese smtp neexistuje. A na web formulář nereagovali.

    A k problému obecně: já naopak považuju za správné blokovat nealokované segmenty. Buď firewally, nebo pomocí BGPka. Jenom se nesmí zapomínat na pravidelné aktualizace těch seznamů. Při mojich pokusech jsem viděl docela dost paketů z jedné nealokované sítě (myslím 50/8, ale už si nejsem jistý). A co si o tom má člověk myslet? Radši seknout, ať se to po síti nepoflakuje. Na DoS útok by to totiž stačit mohlo.
    4.2.2010 23:56 fissie | skóre: 12 | blog: One little blog
    Rozbalit Rozbalit vše Re: Řada firewallů blokuje nově přidělené IP adresy
    Hmm, to jste psal nekdy v posledni dobe? Na irc@irc.cz nic nevidim. Pokud to v posledni dobe nebylo, poslete prosim mail se zadosti tam. Dekuji.

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.